某省“金保工程”信息系統(tǒng)審計案例 信息系統(tǒng)案例介紹

某省“金保工程〞信息系統(tǒng)審計審計署哈爾濱特派辦2021年12月信息系統(tǒng)案例介紹內(nèi)容簡介一、工程摘要二、信息系統(tǒng)根本情況七、初步審計成果

八、工程的局限性四、信息系統(tǒng)審計總體目標

三、信息系統(tǒng)控制情況

五、信息系統(tǒng)審計內(nèi)容和事項

六、信息系統(tǒng)審計過程和測試方法

聚焦“金保工程〞金保工程1一個工程

2兩大系統(tǒng)

3三級結(jié)構(gòu)4四項功能

1.工程摘要項目信息

名稱：某省“金保工程”信息系統(tǒng)審計；時間:2011年7-9月審計重點“金保工程”信息系統(tǒng)一般控制及社會保險子系統(tǒng)應(yīng)用控制發(fā)現(xiàn)問題1.尚未建立健全信息系統(tǒng)制度建設(shè)，設(shè)備采購管理亟待規(guī)范，信息系統(tǒng)安全投入不足，系統(tǒng)運維外包存在潛在風(fēng)險。2.數(shù)據(jù)備份、恢復(fù)及操作等方面管理機制不完善；機房缺少必要的安全設(shè)施，存在安全隱患。3.系統(tǒng)功能設(shè)置不完善，系統(tǒng)應(yīng)用缺乏有效控制，數(shù)據(jù)的完整性、準確性和一致性等發(fā)面缺乏有效地校驗機制控制。2.信息系統(tǒng)根本情況某省“金保工程〞系統(tǒng)平臺以省級大集中數(shù)據(jù)庫和統(tǒng)一應(yīng)用平臺為根底。負責管理和維護的信息系統(tǒng)共有99個。2.信息系統(tǒng)根本情況2.信息系統(tǒng)根本情況針對數(shù)據(jù)物理集中、業(yè)務(wù)處理實現(xiàn)高度信息化的特點，審計人員對某省“金保工程〞信息系統(tǒng)的部署及應(yīng)用進行了調(diào)查，發(fā)現(xiàn)其在網(wǎng)絡(luò)部署及平安保護措施、業(yè)務(wù)流程控制、數(shù)據(jù)控制等方面存在一定風(fēng)險。3.信息系統(tǒng)控制情況審計子類審計情況初步調(diào)查結(jié)論風(fēng)險水平網(wǎng)絡(luò)部署及安全保護措施某省“金保工程”系統(tǒng)建立了專用網(wǎng)絡(luò)，通過專線與數(shù)據(jù)中心以及各分支機構(gòu)連接。繪制了網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，安裝了入侵檢測、漏洞掃描工具、防火墻以及熊貓網(wǎng)絡(luò)版殺毒軟件。制定了權(quán)限管理、用戶管理、安全管理等制度。中業(yè)務(wù)流程控制業(yè)務(wù)授權(quán)與審批較規(guī)范，數(shù)據(jù)處理邏輯基本合理，部分業(yè)務(wù)流程與有關(guān)規(guī)定不符。中數(shù)據(jù)控制主數(shù)據(jù)、業(yè)務(wù)參數(shù)和重要信息基本能夠滿足有效性、完整性和真實性的要求，部分數(shù)據(jù)校驗機制存在不足。中4.信息系統(tǒng)審計總計目標5.審計重點內(nèi)容及審計事項序號審計內(nèi)容審計事項審計事項類別1信息系統(tǒng)組織控制情況制度建設(shè)一般控制2設(shè)備采購管理一般控制3信息系統(tǒng)開發(fā)維護控制情況項目立項一般控制4系統(tǒng)運行維護管理一般控制5信息系統(tǒng)安全控制情況情況系統(tǒng)安全投入一般控制6系統(tǒng)安全定級一般控制7系統(tǒng)操作管理控制情況數(shù)據(jù)資源管理一般控制8機房物理環(huán)境控制情況機房物理環(huán)境管理一般控制9信息系統(tǒng)效益情況系統(tǒng)應(yīng)用效益一般控制10信息系統(tǒng)流程和功能控制情況系統(tǒng)流程控制應(yīng)用控制11系統(tǒng)功能控制應(yīng)用控制12數(shù)據(jù)輸入控制情況主數(shù)據(jù)庫數(shù)據(jù)輸入控制應(yīng)用控制13數(shù)據(jù)處理控制情況主數(shù)據(jù)庫數(shù)據(jù)處理控制應(yīng)用控制6.審計過程和測試方法

6.審計過程和測試方法

3.審計結(jié)果截至2021年6月末，省人社廳及所屬信息中心僅建立了關(guān)于“金保工程〞資產(chǎn)管理和系統(tǒng)運行維護方面的相關(guān)制度7項，尚未對工程管理和資金使用制定相應(yīng)的管理制度，“金保工程〞建設(shè)監(jiān)管存在“盲區(qū)〞。6.審計過程和測試方法上述做法不符合原勞動保障部?關(guān)于進一步加快實施金保工程的意見?〔勞社部函〔2004〕262號〕關(guān)于各地要建立工程管理、資金使用、資產(chǎn)管理、系統(tǒng)運行維護等方面的規(guī)章制度，明確分工，落實責任，采用科學(xué)的管理方法和管理模式，切實加強對金保工程建設(shè)的管理、控制與監(jiān)督的規(guī)定。6.審計過程和測試方法

〔二〕一般控制審計—設(shè)備采購審計1.具體審計目標：調(diào)查建設(shè)、改造“金保工程〞系統(tǒng)時，采購過程是否符合相關(guān)法律法規(guī)要求。2.審計測試過程查看工程建設(shè)和設(shè)備采購資料，對“金保工程〞系統(tǒng)設(shè)備的采購過程進行檢查。3.審計結(jié)果某省“金保工程〞系統(tǒng)局部工程的采購未形成書面方案，采購過程權(quán)責劃分不明晰，招標采購經(jīng)常出現(xiàn)單一廠商投標的現(xiàn)象。6.審計過程和測試方法

〔三〕一般控制審計—信息系統(tǒng)開發(fā)維護控制審計1.具體審計目標：檢查被審計單位在系統(tǒng)建設(shè)中，各項要素是否齊備；系統(tǒng)開發(fā)過程中，對系統(tǒng)分析、系統(tǒng)設(shè)計和系統(tǒng)實施過程所進行的控制措施情況，能否保證信息系統(tǒng)的質(zhì)量以及平安可靠性。2.審計測試過程〔1〕與被審單位的管理人員、業(yè)務(wù)人員、軟件開發(fā)人員座談進行詢問，了解系統(tǒng)建設(shè)、開發(fā)和變更的流程控制情況和質(zhì)量控制情況?！?〕要求被審計單位提供可行性研究報告、工程建設(shè)意見書、工程立項申請書、工程開發(fā)方案、軟件需求規(guī)格說明書、數(shù)據(jù)需求規(guī)格說明書或數(shù)據(jù)表E-R關(guān)系圖、概要設(shè)計說明書或程序設(shè)計說明書、詳細設(shè)計說明書或模塊設(shè)計說明書、測試方案、測試分析報告、開發(fā)進度月報、工程開發(fā)總結(jié)報告、維護修改日志或軟件開發(fā)變更說明、操作手冊或用戶使用手冊、系統(tǒng)運行維護協(xié)議等。審計人員審閱所提交的系統(tǒng)文檔。6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法6.審計過程和測試方法

〔五〕一般控制審計—系統(tǒng)操作管理情況控制審計1.審計具體目標:檢查被審計單位是否建立了一套完善可行的信息系統(tǒng)操作管理制度，確認信息系統(tǒng)的各類操作人員是否嚴格按照系統(tǒng)操作管理制度進行系統(tǒng)的使用和操作。2.審計測試過程〔1〕要求被審計單位提供信息系統(tǒng)操作管理制度和操作手冊。審閱信息系統(tǒng)操作管理制度，分析其是否完善可行；審閱各種操作手冊；要求被審單位相關(guān)人員填寫數(shù)據(jù)資源管理控制調(diào)查表?！?〕檢查操作日志，并就出現(xiàn)的事件和采取的行動詢問有關(guān)操作人員。〔3〕實地觀察信息中心的活動，包括日常備份等；觀察業(yè)務(wù)人員實際使用系統(tǒng)進行業(yè)務(wù)辦理的情況，是否符合操作制度。6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

6.審計過程和測試方法

系統(tǒng)測試審計風(fēng)險應(yīng)用控制審計6.審計過程和測試方法測試環(huán)境怎么辦？大集中系統(tǒng)不適宜搭建大型信息系統(tǒng)搭建測試環(huán)境本錢高調(diào)試時間長6.審計過程和測試方法信息系統(tǒng)審計方式結(jié)合式獨立式特殊式倒推式用哪個？010203“倒推式〞主要是根據(jù)業(yè)務(wù)審計發(fā)現(xiàn)問題，倒推出系統(tǒng)缺陷。但這種“倒推式〞并沒有明確的信息系統(tǒng)審計目標，因而具有一定偶然性。“倒推式〞，是指根據(jù)業(yè)務(wù)流程對信息系統(tǒng)控制點進行分解，在確定關(guān)鍵控制環(huán)節(jié)的根底上，建立數(shù)據(jù)分析模型對控制點數(shù)據(jù)進行分析，并根據(jù)數(shù)據(jù)分析發(fā)現(xiàn)的異常倒推出系統(tǒng)控制缺陷的信息系統(tǒng)審計方式。昨天明天

倒推式信息系統(tǒng)審計演變今天6.審計過程和測試方法“倒推式〞是指通過數(shù)據(jù)審計發(fā)現(xiàn)異常，倒推系統(tǒng)內(nèi)控或信息系統(tǒng)的毛病。數(shù)據(jù)審計、信息系統(tǒng)審計和系統(tǒng)內(nèi)控審計三位一體全結(jié)合6.審計過程和測試方法132根據(jù)業(yè)務(wù)流程，確定系統(tǒng)關(guān)鍵控制環(huán)節(jié)，并設(shè)計數(shù)據(jù)分析目標圍繞數(shù)據(jù)分析目標，建立數(shù)據(jù)分析模型進行數(shù)據(jù)分析，發(fā)現(xiàn)數(shù)據(jù)存在的異常或問題線索針對數(shù)據(jù)分析發(fā)現(xiàn)的問題，編寫審計需求單提交被審計單位確認并自查原因；審計人員采取前后臺數(shù)據(jù)比照分析等方法進行驗證，從系統(tǒng)應(yīng)用控制層面查找原因，從流程、功能、輸入、處理控制等4個方面確認系統(tǒng)存在的問題審計需求信息系統(tǒng)社保業(yè)務(wù)社保政策審計方法審計需求審計實踐分析提煉各地社保業(yè)務(wù)中的變與不變分析提煉各種信息系統(tǒng)中的變與不變分析提煉審計需求中的共性與個性6.審計過程和測試方法6.審計過程和測試方法〔八〕應(yīng)用控制審計—信息系統(tǒng)流程控制審計1.具體審計目標：檢查“金保工程〞系統(tǒng)流程設(shè)置及控制情況，判斷系統(tǒng)流程控制是否與實際經(jīng)辦流程相符。2.審計測試過程：要求被審單位提供系統(tǒng)流程設(shè)置及控制情況相關(guān)資料，與業(yè)務(wù)經(jīng)辦機構(gòu)人員座談并進行分析性復(fù)核測試。3.審計結(jié)果通過對“金保工程〞系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)進行剖析發(fā)現(xiàn)，系統(tǒng)中只設(shè)定了參保登記和應(yīng)繳申報的二級經(jīng)辦審核機制，無法實現(xiàn)國家規(guī)定的“經(jīng)辦—審核—復(fù)核〞的三級審核機制。6.審計過程和測試方法〔九〕應(yīng)用控制審計—信息系統(tǒng)功能控制審計1.具體審計目標：檢查“金保工程〞系統(tǒng)功能設(shè)置及控制情況，判斷系統(tǒng)功能控制是否滿足實際經(jīng)辦的需要。2.審計測試過程：要求被審單位提供系統(tǒng)功能設(shè)置及控制情況相關(guān)資料，與業(yè)務(wù)經(jīng)辦機構(gòu)人員座談并進行分析性復(fù)核測試。3.審計結(jié)果企業(yè)根本信息查詢模塊無法實現(xiàn)對統(tǒng)籌區(qū)參保企業(yè)欠費情況的統(tǒng)計匯總，只能按屬期把欠費企業(yè)的數(shù)據(jù)列出，不能實現(xiàn)對欠費數(shù)據(jù)按單位匯總，各基層社保經(jīng)辦機構(gòu)無法應(yīng)用查詢功能來加強欠費的催繳等管理工作。6.審計過程和測試方法〔十〕應(yīng)用控制審計—數(shù)據(jù)輸入控制審計1.具體審計目標：通過對輸入數(shù)據(jù)控制功能的審計，檢查系統(tǒng)自身應(yīng)用控制是否存在漏洞和功能缺陷，評價信息系統(tǒng)的可靠性及效果。2.審計測試過程：審計組制定了較為詳盡的測試方案與細那么，對運行環(huán)境中的程序模塊處理功能進行數(shù)據(jù)檢測。發(fā)現(xiàn)輸入校驗功能較弱，存在違規(guī)設(shè)置事項。測試數(shù)據(jù)項包括正常、有效的交易數(shù)據(jù)，不正常、無效的交易數(shù)據(jù)，破壞性數(shù)據(jù)，進行多種額度及權(quán)限下的有關(guān)交易測試。最后，將程序運行結(jié)果與預(yù)期結(jié)果進行比對，判斷有關(guān)程序的控制與處理功能是否恰當、有效。6.審計過程和測試方法步驟1通過現(xiàn)場面談觀察法，初步了解系統(tǒng)輸入控制情況步驟2審計人員設(shè)計一套特定的測試數(shù)據(jù)樣本，采用測試數(shù)據(jù)法，檢查錯誤、重復(fù)的關(guān)鍵數(shù)據(jù)是否能夠被拒絕采用數(shù)據(jù)驗證法，檢查數(shù)據(jù)之間邏輯關(guān)系。步驟36.審計過程和測試方法3.審計結(jié)果〔1〕對某些關(guān)鍵信息項未作完整性校驗，導(dǎo)致信息不全。在“金保工程〞系統(tǒng)數(shù)據(jù)的單位根本信息中，全省49090個單位存在行業(yè)代碼為空、組織機構(gòu)代碼為空、單位工商登記發(fā)照日期為空、單位繳費開戶根本賬號為空、參保單位名稱為空等現(xiàn)象；單位參保信息中，也存在單位參保狀態(tài)正常但參保日期為空的現(xiàn)象?！?〕對主要信息項未做正確性、合理性檢驗或校驗機制不完善，導(dǎo)致局部數(shù)據(jù)錯誤。在“金保工程〞系統(tǒng)數(shù)據(jù)的個人根本信息表中，性別為異常標識〔正常為“1〞或“2〞〕的記錄有3876條；身份證號碼異?！采矸葑C字段長度大于18或小于15或信息為空〕的記錄有968條?！?〕對主要信息項未做重復(fù)性檢驗，導(dǎo)致局部信息存在重復(fù)。在“金保工程〞系統(tǒng)數(shù)據(jù)的單位根本信息中，全省參保單位名稱重復(fù)但參保單位編號不一致的記錄為2530條；某市個人根本信息表中，身份證號重復(fù)的記錄為59774條，其中最多一個身份證號重復(fù)了14次。6.審計過程和測試方法上述做法不符合原勞動保障部?關(guān)于進一步加快實施金保工程的意見?關(guān)于要加強根底數(shù)據(jù)庫建設(shè)，切實做好根底數(shù)據(jù)的采集、整理和入庫工作，要按照部里的標準和要求，對根本工程不全、記錄不實的數(shù)據(jù)，抓緊補齊記實，同時要剔除冗余數(shù)據(jù)，更正錯誤數(shù)據(jù)，清理垃圾數(shù)據(jù)，確保各項數(shù)據(jù)真實準確的規(guī)定。6.審計過程和測試方法〔十一〕應(yīng)用控制審計—數(shù)據(jù)處理控制審計1.具體審計目標：以構(gòu)建審計分析模型為出發(fā)點，通過采集審計分析模型需要的數(shù)據(jù)和對數(shù)據(jù)進行處理分析，判斷和評價系統(tǒng)數(shù)據(jù)的真實性、合法性、完整性，通過數(shù)據(jù)審計發(fā)現(xiàn)的問題，提供給審計組成員進行核實，提高工作效率，進而反推信息系統(tǒng)缺陷。2.審計測試過程：分析該系統(tǒng)的數(shù)據(jù)字典，掌握保存程序運行結(jié)果的庫表結(jié)構(gòu)與分布情況，采集了審計所需的數(shù)據(jù)庫文件，通過SQL等數(shù)據(jù)庫分析處理工具，對采集的數(shù)據(jù)文件進行轉(zhuǎn)換，對照法律法規(guī)要求設(shè)定各種運算條件，使用查詢、排序、計算、分析等SQL語句，分別構(gòu)建邏輯關(guān)系模型、審計經(jīng)驗?zāi)Ｐ停糜跈z查，發(fā)現(xiàn)疑點。6.審計過程和測試方法〔1〕重復(fù)繳費審計

2021年至2021年度，某省“金保工程〞系統(tǒng)中存在2058名身份證號相同但個人編號不同的人員繳費記錄，繳費記錄共計53980條。3.審計結(jié)果6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法6.審計過程和測試方法針對以上問題，建議如下：1完善“金保工程”系統(tǒng)管理制度建設(shè)，統(tǒng)籌考慮信息系統(tǒng)資金運用。2加強“金保工程”系統(tǒng)規(guī)